2019年7月12日のtwitterセキュリティクラスタ

ビットポイント、約35億円分の仮想通貨が不正流出ですって

ビットポイント、約35億円分の仮想通貨が不正流出したと発表 japan.cnet.com/article/351398…
“ビットポイントジャパンでは、取引を円滑にするために一部の仮想通貨をホットウォレットで管理しており、そのウォレットから流出したと説明している”

“このたび、過去一度も破られたことないという実績をもち、大手インフラ企業でも採用が相次ぐ「AppGuard」を導入し、仮想通貨取引インフラの役割を担う仮想通貨交換業者として、より高水準なサイバーセキュリティ体制の実現を目指しております”

remixpoint.co.jp/corporate/pres…

暗号資産「ビットポイント」で35億円相当の資産流出
www3.nhk.or.jp/news/html/2019…
“流出した暗号資産は「ホットウォレット」と呼ばれる外部のネットワークにつながった状態で管理…ビットコイン、ビットコインキャッシュ、イーサリアム、ライトコイン、リップルの5種類の暗号資産があったということです”

セキュリティ格付け、意味ないってことか。

» BITPointが情報セキュリティ格付け「A」を取得!|株式会社リミックスポイントのプレスリリース prtimes.jp/main/html/rd/p…

過去の主な仮想通貨の流出事件をまとめた表です。規模でいうと、ビットポイントからの流出額はZaifの半分程度ですね pic.twitter.com/r0tw1Dkxf3

2019/07/11 21:25:24 JST 584922ブロック目に17トランザクションにて合計約1200BTCが1NcVK6HdxcESjN99HRzG8kjUcEahf56QSkに送金されたのが初動ぽい。2019/07/12 14:00:00時点ではそれらが一か所に集約され、1GgmtPmEfchdUVJ6azctUfiK9ML4oSAZXhに約2217BTCが集まっている。
#BITPoint twitter.com/hereisyourbtg/…

ビットポイントのハッキング、内部犯っぽい感じなので、ホットウォレットとかマルチシグとか外部の対策をいくらしても内部の対策には限界があるし、もう取引所自体が無理ゲーな気がしてきた……

【ビットポイントハッキング】
リミックスによると、流出した35億円のうち25億円が顧客資産だった。ネットにつながったコンピューターである「ホットウォレット」で管理している仮想通貨が不正アクセスを受けた。流出した仮想通貨はビットポイントが顧客への補償などを検討する。

補償なきゃ絶対ダメ

ビットポイントといいTATERUといい本田圭佑が広告塔やるとこって…。

ビットポイントの仮想通貨「3度目の巨額流出」で業界に大逆風の懸念 – DOL特別レポート bit.ly/2xQsZNX

本日、「ザイFX!×ビットコイン」で公開した記事。

ビットポイントから35億円分の仮想通貨が流出。それほど大きな金額とも感じられなくなっているのが怖い。。。

ビットポイントで約35億円分の仮想通貨流出!今度はビットコイン含む5銘柄が被害に!?
zai.diamond.jp/articles/-/320… #仮想通貨流出

仮想なくせに不正な流失分を無効にとかできないの?/ビットポイント〝35億円相当〟巨額流出

三上洋氏「これまでの取引をリセットはできるけど、システム全体が機能しなくなってしまうから実際は不可能。日本が赤字になったから、日本銀行券を一年間無効にしますと同じこと」

#アベプラ @mikamiyoh

地球上に仮想通貨の中から
ビットポイントがいくら不正流出したと思ってるの? pic.twitter.com/Q5tiMsukNd

その他に気になったことはこのあたり。

セブンペイ、アルバイト店員が不正アクセス…中国籍の女を逮捕
yomiuri.co.jp/national/20190…
#社会

この一連のTweetは脆弱性の指摘ではありません。少し補足した内容がこちらにあります。 twitter.com/bulkneets/stat… 記者会見で「個人情報の漏洩」について様々なケースがあるなどと言っていたので、画面上に表示されなくともAPIレスポンス上は個人情報が取得できていることを検証するためのものです。

これは自分のアカウントでログインした通信をキャプチャしたものであり「住所を返している」事自体は何らおかしくありません(アプリによっては利用しています) これ自体は脆弱性の指摘ではなく、今後の継続した不正ログインが起きる状況を想定して「止血が出来ていない」ことを指摘しているものです

こうもバカ丁寧に説明が必要かよく分かりませんが「止血が出来ていない」というのは不正ログイン時の「不正決済」についてはチャージ停止などで追加被害の緩和が出来ているのに対し「個人情報漏洩」については未対策であり、被害として認知出来てるのか、調査する気があるのかと圧をかけているのです

しかしながらこれは脆弱性の指摘ではありません。特にパスワードハッシュについては「使途が不明だ」と言っているだけで、自分は「このAPIを利用する全てのアプリの全ての機能」を検証していません。珍しいとは思いますが、全く用途が考えられないほどのことではありません。
twitter.com/bulkneets/stat…

あまりにも酷い反応が多いので、デコンパイルして調べるなどしました。一応セブンアプリ内で「パスワードが設定済みかどうか」の判定程度には利用していました(ハッシュ値自体は使っていなかった) 簡単に検証しただけなので、網羅的には調べていません。

セブンスポットなどWiFiアクセスポイントなどもあるし、パスワードハッシュを使って何らかの別のサービスと連携するような仕組みを想定しているのかもしれません。用途が想像できないからと言って、開発体制に問題があるやら、まして脆弱性だなどと主張するのは論理が飛躍しすぎている。

ハッシュアルゴリズムは不明だと書いたし容易に元に戻せるような確証はありません。脆弱性だパスワード漏れるだ言うからには自分で分析してせめてハッシュアルゴリズムぐらい突き止めてから言って欲しい。何かパスワード入ってるし脆弱性だなどというのはスーパー早とちりクソ野郎だし日経は廃刊しろ。

わかってる風の素人がよく言う的外れツッコミの典型2つ。弱いパスワードは普通に(順方向ハッシュ計算の適用で)復元される。(オフライン攻撃と言う。)
twitter.com/ken5scal/statu…
twitter.com/bluerabbit777j…

どう気をつけても復元される。ソルトを入れても(レインボーテーブルが使えなくても)復元される弱いパスワードが一定数ある。ストレッチングしても軽減できるだけ。方法はアプリのプログラムコードに書かれている。
twitter.com/shojiueda/stat…
「ハッシュ化するときに気をつけないと」

いまひとつ解せない説明。この取得できるハッシュはローカル認証用のパスワード(チャージパスワード)のことでは?と思うのだが、この文だとログインパスワードのように聞こえる。
tech.nikkeibp.co.jp/atcl/nxt/news/…
「あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し」

これのことね。
https://t.co/Z6zgPNiokK
「password として 128桁のハッシュが返ってきてて何に使っているのか分からなくて謎…使途はマジでわからないので、よくあるDBカラム殆どそのまま返している系じゃないかと推測」

これがローカル認証用のパスワードであるなら、ハッシュアルゴリズム(ソルト及びストレッチングの方法を含む)がアプリのプログラムコードに書かれているはずなので、逆コンパイルすることで特定できる。
twitter.com/shojiueda/stat…

ローカル認証(ならばだが)の誤った実装が表に出た初の事例として殿堂入りではないか。ローカル認証は端末で閉じていなければならず、ログインアカウントでサーバに保存してはいけない。つまり、UX視点で言えば、端末を変更してログインするとローカル認証はかかってない状態になる挙動が正しい。

逆に言えば、端末を変更した(あるいは2台目でログインした)のに初めからローカル認証(パスワード・PIN方式に限る)がかかっているアプリは、異常であり、そのローカル認証用のパスワード・PINは(ログイン可能な者には)復元できてしまう(場合がある。PINは桁が少なければ常に。)ことを意味する。

これが欠陥と言えるかは、そのローカル認証が何の目的で用意されたものかから検討しないといけない。通常は紛失時等端末が攻撃者の手に渡った時の操作を阻止する目的である。手にした攻撃者がこのハッシュ値を手に入れられるかというと、……できる場合とできない(困難な)場合がありそうだ。

(できる場合の一例は、ログインパスワードが存在せず電話番号認証(SMS受信等)のみになっている場合、他の端末からその電話番号で当該認証を走らせて元の端末で受信したコードを用いて(他の端末で)ログインできると、当該ハッシュ値を取得できる。)

「ローカル認証がかかってない状態が正しい」のでは危ないじゃん!と思われるかもしれないが、ローカル認証で保護する対象は新端末ではクリアされている(今回の例で言えば、登録したカード番号情報が未設定の状態となる)のが正しい。
twitter.com/HiromitsuTakag…

7payをまだ使える状態の人に確かめてほしいこと。チャージパスワード
(7payでの名称は「認証パスワード」、下の画面は登録時のもの)を使うタイミング(チャージするとき)で、端末をオフラインにして、認証が通るかそれともネットワークエラーになるか? pic.twitter.com/YjSGLwhmH6

続き。「いやそうでもないか」の理由。そもそも、リモート認証×ローカル認証のモデルでは、リモート認証がパスワードのような弱い場合のある認証を想定していない。したがって、新規端末で初回にローカル認証がかかっていないままチャージ等を利用できることは問題ではない。

そうすると、リモート認証が強固な前提では、ローカル認証の認証情報をサーバからダウンロードしてきて使うという上記の実装も、欠陥とは言えないということになる。(もっとも、それならそのローカル認証もサーバでやってもいいわけだが。PINでも問題とならない。ログインが破られない前提なので。)

ファミペイを試した。別の端末でログイン(リモート認証)したところ、ローカル認証と思っていたペイ利用時PINは、設定済みとして復元され、ロック状態も維持されていた。ということはこれはローカル認証ではなくリモート認証だったわけだ。(オフラインにするとエラー。) pic.twitter.com/QaynWDTNXl

PIN(この場合4桁数字)が数字のみパスワードでも問題ないのは、ローカル認証である場合が一つだが、このようにリモートだけども強固なログイン認証が澄んだ中で行うものも問題ないわけだ。

RedisからOSコマンドを実行する攻撃方法(config set編) – knqyf263’s blog
knqyf263.hatenablog.com/entry/2019/07/…
もし、Redisが外部に公開されてしまっている場合にRedis上のデータをいじられちゃうだけではなくて、場合によっては任意のコマンド実行される可能性あるよってお話。興味深い。

守れサイバーセキュリティ~SOCとは? ヤフーにおけるその役割 techblog.yahoo.co.jp/entry/20190711…

具体例も書いてあってわかりやすいね

@takahoyo 本人に「あのサメアイコンの人も絶賛を……!」と伝えておきます!

【お知らせ】現在、Chatworkにおいて、本人ではないと思われるログイン試行が増加しています。当社では不正なアクセスとみられるログイン試行を検知でき次第、遮断対応をおこなっておりますが、自身でも不正ログイン対策として「2段階認証」の設定をお願いします。
help.chatwork.com/hc/ja/articles…

Chrome 75で修正されたURLパーサのバグが開示された。aタグのURLに特定のUnicode文字が与えられた場合、protocolプロパティが正しい値を返さなかった。このせいで、javascript: をブラックリストしてXSS対策しているような実装で検証を回避してXSSされる恐れがあった。
bugs.chromium.org/p/chromium/iss…

SSRF DNS Rebinding -> access to tokens & sensitive information of the local network -> XHR request to an unauthorized HTTP web server in the LAN -> execute OS commands -> XHR request to the attacker Domain
#MissionAccomplished twitter.com/fasthm00/statu…

九州電力グループ、S/MIMEのメールなりすまし対策を導入–1万人超は国内初 japan.zdnet.com/article/351398…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>